次のような syslog 文字列があります。
lwiod[2469]: S-1-5-21-2071757552-4033313730-2397045981-3628|0xC94F000|LOGON|STATUS_SUCCESS|10.10.19.10|10.10.42.40|COMPANY\USERNAME
lwiod[2469]: S-1-5-21-2071757552-4033313730-2397045981-3628|0xC94F000|LOGON|STATUS_SUCCESS|10.10.19.10|10.10.42.40|USERNAME@COMPANY
lwiod[2469]: S-1-5-21-2071757552-4033313730-2397045981-3628|0xC94F000|LOGON|STATUS_SUCCESS|10.10.19.10|10.10.42.40|UNKNOWN
そして、次のように、必要なものすべてをキャプチャする正規表現があります。
lwiod\[([0-9]+)\]: (.*)\|(.*)\|LOGON\|STATUS_(.*)\|(.*)\|(.*)\|(COMPANY\\.*|.*\@COMPANY|UNKNOWN)
また、その正規表現で行う必要があるのは、フィールド 7 のみに USERNAME OR UNKNOWN を指定することです。COMPANY (AD ドメイン名) は必要ありませんが、問題が発生しています。
フィールド 1 は S-1-5-21-2071757552-4033313730-2397045981-3628、2 は 0xC94F000、... 7 は USERNAME または UNKNOWN になります。
ありがとう!